注册 登录  
 加关注
查看详情
   显示下一条  |  关闭
温馨提示!由于新浪微博认证机制调整,您的新浪微博帐号绑定已过期,请重新绑定!立即重新绑定新浪微博》  |  关闭

从C开始

 
 
 

日志

 
 

SSDT HOOK 模板  

2011-06-12 19:28:43|  分类: 驱动编程 |  标签: |举报 |字号 订阅

  下载LOFTER 我的照片书  |
#include <ntddk.h>
#include <stdio.h>

#pragma pack(1)
typedef struct ServiceDescriptorEntry{
 unsigned int *ServiceTableBase;
 unsigned int *ServiceCounterTableBase;
 unsigned int NumberOfServices;
 unsigned char *ParamTableBase;
}SSDT_Entry;
#pragma pack()
__declspec(dllimport) SSDT_Entry KeServiceDescriptorTable;

PMDL g_pMdlSystemCall;
PVOID *MappedSystemCallTable;

#define SYSTEMSERVICE(_Function)  KeServiceDescriptorTable.ServiceTableBase[ *(PULONG)((PUCHAR)_Function+1)]
#define SYSCALL_INDEX(_Function) *(PULONG)((PUCHAR)_Function+1)
#define HOOK_SYSCALL(_Function, _Hook, _Orig )  \
   _Orig = (PVOID) InterlockedExchange( (PLONG) &MappedSystemCallTable[SYSCALL_INDEX(_Function)], (LONG) _Hook)
#define UNHOOK_SYSCALL(_Function, _Orig )  \
   InterlockedExchange( (PLONG) &MappedSystemCallTable[SYSCALL_INDEX(_Function)], (LONG) _Orig)

NTSTATUS RootkitUnload(IN PDRIVER_OBJECT DriverObject)
{
     KdPrint(("RootkitUnload...\n"));
     UNHOOK_SYSCALL(ZwCreateFile, OldZwCreateFile);
     if (g_pMdlSystemCall)
     {
        MmUnmapLockedPages(MappedSystemCallTable, g_pMdlSystemCall);
        IoFreeMdl(g_pMdlSystemCall);
     }
     
     return STATUS_SUCCESS;
}

NTSTATUS DriverEntry(
           IN PDRIVER_OBJECT  DriverObject,
           IN PUNICODE_STRING RegistryPath
          )
{
    g_pMdlSystemCall = MmCreateMdl( NULL, KeServiceDescriptorTable.ServiceTableBase, KeServiceDescriptorTable.NumberOfServices*4 );
    if(!g_pMdlSystemCall)
    {
        KdPrint(("分配MDL失败!"));
        return STATUS_UNSUCCESSFUL;
    }
    
    MmBuildMdlForNonPagedPool(g_pMdlSystemCall);
    g_pMdlSystemCall->MdlFlags |= MDL_MAPPED_TO_SYSTEM_VA;
    MappedSystemCallTable = MmMapLockedPages(g_pMdlSystemCall, KernelMode);

    HOOK_SYSCALL(ZwCreateFile, MyZwCreateFile, OldZwCreateFile);

    DriverObject->DriverUnload = RootkitUnload;
    
    return STATUS_SUCCESS;
}

  评论这张
 
阅读(1055)| 评论(0)
推荐 转载

历史上的今天

评论

<#--最新日志,群博日志--> <#--推荐日志--> <#--引用记录--> <#--博主推荐--> <#--随机阅读--> <#--首页推荐--> <#--历史上的今天--> <#--被推荐日志--> <#--上一篇,下一篇--> <#-- 热度 --> <#-- 网易新闻广告 --> <#--右边模块结构--> <#--评论模块结构--> <#--引用模块结构--> <#--博主发起的投票-->
 
 
 
 
 
 
 
 
 
 
 
 
 
 

页脚

网易公司版权所有 ©1997-2018